الصور “المحمية” أسهل، وليس أكثر صعوبة، للسرقة باستخدام الذكاء الاصطناعي

تشير الأبحاث الجديدة إلى أن أدوات الترميز المقصودة لمنع تحرير الصور باستخدام الذكاء الاصطناعي قد تؤدي إلى نتائج عكسية. بدلاً من منع نماذج مثل Stable Diffusion من إجراء التغييرات، قد تسهل بعض الحمايات فعلاً مساعدة الذكاء الاصطناعي على اتباع توجيهات التحرير بدقة أكبر، مما يجعل التلاعب غير المرغوب فيه أسهل.

هناك سمة ملحوظة ومتينة في أدب الرؤية الحاسوبية مخصصة لحماية الصور المحمية بحقوق النشر من أن يتم تدريبها في نماذج الذكاء الاصطناعي، أو استخدامها في عمليات الذكاء الاصطناعي المباشرة. يتم توجيه أنظمة من هذا القبيل بشكل عام إلى نماذج الانتشار الكمومي (LDMs) مثل Stable Diffusion و Flux، التي تستخدم إجراءات قائمة على الضوضاء لترميز وفك ترميز الصور.

من خلال إدخال ضوضاء معادية في الصور التي تبدو طبيعية، يمكن أن يكون من الممكن إحداث خلل في كاشفات الصور لتحديد محتوى الصورة بشكل غير صحيح، وتعطيل أنظمة توليد الصور من استغلال البيانات المحمية بحقوق النشر:

من ورقة MIT ‘رفع تكلفة التحرير القائم على الذكاء الاصطناعي الخبيث للصور’، أمثلة على صورة مصدر محمية ضد التلاعب (الصف السفلي). المصدر: https://arxiv.org/pdf/2302.06588

منذ رد فعل فني ضد استخدام Stable Diffusion المتحرر لصور مُحَصَّرة من الويب (بما في ذلك الصور المحمية بحقوق النشر) في عام 2023، أنتجت المشهد البحثي عدة متغيرات على نفس الموضوع – فكرة أن الصور يمكن أن تكون محمية بشكل غير مرئي ضد التدريب في أنظمة الذكاء الاصطناعي أو امتصاص أنابيب الذكاء الاصطناعي التوليدية، دون التأثير السلبي على جودة الصورة، للمشاهد العادي.

في جميع الحالات، هناك علاقة مباشرة بين شدة الاضطراب المفروض، ومدى حماية الصورة، ومدى عدم مظهر الصورة جيدة كما ينبغي:

尽管 جودة ورقة البحث لا توضح تمامًا المشكلة، فإن كميات أكبر من الاضطراب المعادي تضحي بجودة الصورة من أجل الأمان. هنا نرى مجموعة من اضطرابات الجودة في مشروع ‘Fawkes’ لعام 2020 بقيادة جامعة شيكاغو. المصدر: https://arxiv.org/pdf/2002.08327

من الجوانب التي تهم الفنانين الذين يبحثون عن حماية أسلوبهم ضد الاستخدام غير المصرح به، هو القدرة على هذه الأنظمة على إخفاء الهوية ومعلومات أخرى، ولكن لإقناع عملية تدريب الذكاء الاصطناعي بأنها ترى شيئًا مختلفًا عما هي في الواقع، بحيث لا تتشكل روابط بين المجالات الدلالية والبصرية لبيانات التدريب “المحمية” (أي، توجيه مثل ‘بالنمط بول كلي’).

Mist و Glaze هما طريقتان شائعتان للحقن قادرتان على منع، أو على الأقل عرقلة محاولات استخدام أنماط محمية بحقوق النشر في تدفقات عمل وروتين التدريب للذكاء الاصطناعي. المصدر: https://arxiv.org/pdf/2506.04394

هدف ذاتي

الآن، وجدت أبحاث جديدة من الولايات المتحدة الأمريكية أن الاضطرابات لا فقط تفشل في حماية الصورة، ولكن إضافة الاضطراب يمكن أن تحسن قابلية الصورة للتلاعب في جميع العمليات التي يُفترض أن تكون الاضطراب تحمي ضدها.

تُشير الورقة إلى:

‘في تجاربنا مع طرق حماية الصور القائمة على الاضطراب في مجالات متعددة (صور المشاهد الطبيعية والفنون) ومهام التحرير (توليد الصور من الصور وتحرير الأسلوب)، نكتشف أن هذا الحماية لا يصل إلى هذا الهدف تمامًا.

‘في معظم السيناريوهات، يولد تحرير الصور المحمية باستخدام الانتشار نتائج الصور المرغوبة التي تتوافق بدقة مع توجيه التحرير.

‘تشير نتائجنا إلى أن إضافة الضوضاء إلى الصور قد تزيد بشكل معاكس من ارتباطها مع توجيهات النص المعطاة خلال عملية التوليد، مما يؤدي إلى عواقب غير مقصودة مثل تحسين التحريرات الناتجة.

‘لذلك، نجادل بأن الأساليب القائمة على الاضطراب قد لا توفر حلًا كافيًا لحماية الصور بشكل قوي ضد التحرير القائم على الانتشار.’

في الاختبارات، تم كشف الصور المحمية عن سيناريوهين مألوفين لتحرير الذكاء الاصطناعي: توليد الصور من الصور بشكل مباشر وتحويل الأسلوب.

تمثل هذه العمليات الطرق الشائعة التي قد يستغل بها نماذج الذكاء الاصطناعي المحتوى المحمي، إما عن طريق تغيير الصورة مباشرة أو عن طريق اقتباس سماتها الأسلوبية لاستخدامها في مكان آخر.

تم تشغيل الصور المحمية، التي تم الحصول عليها من مصادر стандартية للتصوير والفن، من خلال هذه الأنابيب لتحديد ما إذا كانت الاضطرابات المضافة يمكن أن تعطل أو تدهور التحريرات.

بدلاً من ذلك، غالبًا ما بدت الحماية وكأنها حادة في انطباق النموذج مع التوجيهات، مما أدى إلى نتائج دقيقة ومتوافقة مع الإرشادات.

ينصح المؤلفون، في الواقع، بأن هذا الأسلوب الشائع للحماية قد يوفر شعورًا كاذبًا بالأمان، ويجب اختبار أي نهج من هذا القبيل بدقة ضد أساليب المؤلفين الخاصة.

الطريقة

أجرى المؤلفون تجارب باستخدام ثلاثة طرق حماية تطبق اضطرابات معادية متعمدة: PhotoGuard؛ Mist؛ و Glaze.

Glaze، إحدى الإطارات التي اختبرها المؤلفون، تظهر أمثلة حماية Glaze لثلاثة فنانين. العمودان الأولان يظهران الأعمال الفنية الأصلية؛ العمود الثالث يظهر نتائج التقليد بدون حماية؛ العمود الرابع، إصدارات نقل الأسلوب المستخدمة لتحسين القناع، مع اسم الأسلوب المستهدف. الأعمدة الخامسة والسادسة تظهر نتائج التقليد مع تطبيق القناع عند مستويات الاضطراب p = 0.05 و p = 0.1. جميع النتائج تستخدم نماذج Stable Diffusion. https://arxiv.org/pdf/2302.04222

تم تطبيق PhotoGuard على صور المشاهد الطبيعية، في حين تم استخدام Mist و Glaze على الأعمال الفنية (أي، مجالات مصممة فنيًا).

تم تغطية الاختبارات كل من الصور الطبيعية والفنية لتعكس الاستخدامات المحتملة في العالم الواقعي. تم تقييم فعالية كل طريقة من خلال التحقق من ما إذا كان نموذج الذكاء الاصطناعي لا يزال بإمكانه إنتاج تحريرات واقعية وملائمة للتوجيهات عند العمل على الصور المحمية؛ إذا كانت الصور الناتجة تبدو مقنعة ومتوافقة مع التوجيهات، فتم الحكم على أن الحماية قد فشلت.

تم استخدام Stable Diffusion v1.5 كمولد صور مسبق التدريب لأعمال التحرير التي قام بها الباحثون. تم اختيار خمس بذور لضمان إمكانية التكرار: 9222، 999، 123، 66، و 42. اتبعت جميع إعدادات التوليد الأخرى، مثل مقياس التوجيه والقوة والخطوات الإجمالية، القيم الافتراضية المستخدمة في تجارب PhotoGuard.

تم اختبار PhotoGuard على صور المشاهد الطبيعية باستخدام مجموعة بيانات Flickr8k، التي تحتوي على أكثر من 8000 صورة مقترنة مع ما يصل إلى خمس تعليقات لكل منها.

أفكار معارضة

تم إنشاء مجموعتان من التعليقات المعدلة من التعليق الأول لكل صورة بمساعدة Claude Sonnet 3.5. تحتوي مجموعة على توجيهات قريبة سياقيًا من التعليقات الأصلية؛ تحتوي المجموعة الأخرى على توجيهات بعيدة سياقيًا.

على سبيل المثال، من التعليق الأصلي ‘فتاة شابة في فستان وردي تدخل كوخًا خشبيًا’، سيكون توجيه قريب ‘صبي شاب في قميص أزرق يدخل منزل من الطوب’. من ناحية أخرى، سيكون توجيه بعيد ‘قطةتان مستلقيتان على أريكة’.

تم بناء التوجيهات القريبة عن طريق استبدال الأسماء والصفات بمصطلحات شبيهة دلاليًا؛ تم توليد التوجيهات البعيدة عن طريق توجيه النموذج لإنشاء تعليقات تختلف سياقيًا بشكل كبير.

تم التحقق يدويًا من جميع التعليقات المولدة لضمان الجودة والملاءمة الدلالية. تم استخدام مُشَفِّر الجملة الشامل من جوجل لحساب درجات التشابه الدلالية بين التعليقات الأصلية والمعدلة:

من المادة التكميلية، توزيعات التشابه الدلالي للتعليقات المعدلة المستخدمة في اختبارات Flickr8k. يظهر الرسم البياني على اليسار درجات التشابه لتوجيهات التعديل القريب، بمتوسط حول 0.6. يظهر الرسم البياني على اليمين التعليقات المعدلة بشكل مكثف، بمتوسط حول 0.1، مما يعكس مسافة دلالية أكبر من التعليقات الأصلية. المصدر: https://sigport.org/sites/default/files/docs/IncompleteProtection_SM_0.pdf

تم استخدام مُقيم جودة الصور المعمي لتقييم جودة الصورة:

نتائج توليد الصور من الصور على الصور الطبيعية المحمية بواسطة PhotoGuard.尽管 وجود الاضطرابات، تمكنت Stable Diffusion v1.5 من اتباع التغييرات الدلالية الكبيرة والصغيرة في توجيهات التحرير، مما أدى إلى نتائج واقعية متوافقة مع الإرشادات الجديدة.

المقاييس

为了 تقييم مدى فعالية الحمايات في عرقلة تحرير الذكاء الاصطناعي، قاس المؤلفون مدى تقارب الصور النهائية مع الإرشادات التي تم تزويد بها، باستخدام أنظمة التقييم التي قارنت محتوى الصورة مع توجيه النص، لتحديد مدى توافقهما.

بهذا الغرض، يستخدم مقياس CLIP-S نموذجًا يمكنه فهم الصور والنصوص لتحقق من مدى تشابههما، في حين يضيف PAC-S++ عينات إضافية تم إنشاؤها بواسطة الذكاء الاصطناعي لتحقيق تقارب أكبر مع تقدير بشري:

تأثير الحماية على مجموعة بيانات Flickr8k عبر خمس بذور، باستخدام توجيهات قريبة وبعيدة. تم قياس الانطباق بين الصور والنص باستخدام درجات CLIP-S و PAC-S++.

قارن الباحثون مدى تقارب الذكاء الاصطناعي مع التوجيهات عند تحرير الصور المحمية مقابل غير المحمية. لقد بحثوا أولاً عن الفرق بينهما، الذي يسمى التغيير الفعلي. ثم تم تحويل الفرق لإنشاء التغيير النسبي، مما يجعل من السهل مقارنة النتائج عبر العديد من الاختبارات.

كشفت هذه العملية عن ما إذا كانت الحمايات تجعل من الصعب أو سهلًا على الذكاء الاصطناعي مطابقة التوجيهات. تم تكرار الاختبارات خمس مرات باستخدام بذور عشوائية مختلفة، تغطي التغييرات الكبيرة والصغيرة في التعليقات الأصلية.

الهجوم الفني

对于 اختبارات الصور الطبيعية، تم استخدام مجموعة بيانات Flickr1024، التي تحتوي على أكثر من ألف صورة عالية الجودة. تم تحرير كل صورة بتوجيهات تتبع النمط: ‘تغيير الأسلوب إلى [V]’، حيث [V] يمثل واحدًا من سبعة أساليب فنية مشهورة: الكيوبية؛ بعد الانطباعية؛ الانطباعية؛ السريالية؛ الباروكية؛ الفوفية؛ والنهضة.

تم تطبيق عملية تحويل الأسلوب على الصور الأصلية، وتوليد إصدارات محمية، ثم تشغيل كل من الإصدارات المحمية وغير المحمية من خلال نفس مجموعة تحويلات الأسلوب:

الصورة الأصلية والإصدار المحمي من صورة مشهد طبيعي، كل منهما محرر لتحويل أسلوبه إلى الكيوبية والسريالية والفوفية.

为了 اختبار طرق الحماية على الأعمال الفنية، تم إجراء تحويل الأسلوب على صور من مجموعة بيانات WikiArt، التي تحافظ على مجموعة واسعة من الأساليب الفنية. اتبعت توجيهات التحرير نفس الشكل السابق، حيث تم توجيه الذكاء الاصطناعي لتغيير الأسلوب إلى أسلوب عشوائي غير مرتبط تم سحبه من علامات WikiArt.

تم تطبيق كل من طرق حماية Glaze و Mist على الصور قبل التحرير، مما سمح للباحثين بمشاهدة مدى فعالية كل دفاع في عرقلة أو تشويه نتائج تحويل الأسلوب:

أمثلة على كيفية تأثير طرق الحماية على تحويل الأسلوب على الأعمال الفنية. تظهر الصورة الأصلية بالباروكية إلى جانب الإصدارات المحمية بواسطة Mist و Glaze. بعد تطبيق تحويل أسلوب الكيوبية، يمكن رؤية الفروق في كيفية تعديل كل حماية للإخراج النهائي.

تم اختبار المقارنات كميًا أيضًا:

التغييرات في درجات الانطباق بين الصور والنص بعد تحريرات تحويل الأسلوب.

من بين هذه النتائج، يعلق المؤلفون:

‘تسلط النتائج الضوء على تحديد كبير للاضطرابات المعادية للحماية. بدلاً من عرقلة الانطباق، غالبًا ما تعزز الاضطرابات المعادية استجابة نموذج التوليد للتوجيهات، مما يؤدي إلى نتائج غير مقصودة مثل تحسين التحريرات الناتجة.

‘تظهر العواقب غير المقصودة لاستخدام الاضطرابات المعادية نقاط ضعف في الأساليب الحالية وتؤكد الحاجة الملحة إلى تقنيات حماية أكثر فعالية.’

يشرح المؤلفون أن النتائج غير المتوقعة يمكن أن تعزى إلى كيفية عمل نماذج الانتشار: تعمل نماذج LDM على تحرير الصور عن طريق تحويلها أولاً إلى نسخة مضغوطة تسمى الlatent؛ ثم يتم إضافة الضوضاء إلى هذه الحالة الكامنة خلال العديد من الخطوات، حتى يصبح البيانات شبه عشوائي.

يعكس النموذج هذا العملية أثناء التوليد، بإزالة الضوضاء خطوة خطوة. في كل مرحلة من مراحل هذا العكس، يساعد توجيه النص على توجيه كيفية تنظيف الضوضاء، مما يؤدي إلى تشكيل الصورة لتناسب التوجيه:

مقارنة بين التوليدات من صورة غير محمية وصور محمية بواسطة PhotoGuard، مع تحويل الحالات الكامنة المتوسطة إلى صور لتحقيق التصور.

تضيف طرق الحماية كميات صغيرة من الضوضاء الإضافية إلى الصورة الأصلية قبل دخولها هذه العملية. بينما تكون هذه الاضطرابات طفيفة في البداية، تتراكم مع تطبيق النموذج لطبقاته الخاصة من الضوضاء.

تؤدي هذه التراكمات إلى ترك أجزاء أكثر من الصورة “غير مؤكدة” عندما يبدأ النموذج في إزالة الضوضاء. مع زيادة عدم اليقين، يعتمد النموذج بشكل أكبر على توجيه النص لملء التفاصيل المفقودة، مما يمنح التوجيه تأثيرًا أكبر مما كان سيحدث عادة.

في الواقع، تجعل الحمايات من السهل على الذكاء الاصطناعي إعادة تشكيل الصورة لتناسب التوجيه، بدلاً من جعله أكثر صعوبة.

أخيرًا، أجرى المؤلفون اختبارًا استبدل فيه اضطرابات معمية من ورقة رفع تكلفة التحرير القائم على الذكاء الاصطناعي الخبيث للصور الورقة بالضوضاء الغاوسية النقية.

اتبعت النتائج نفس النمط الملاحظ من قبل: عبر جميع الاختبارات، بقيت قيم التغيير النسبي إيجابية. حتى هذا الضوضاء العشوائية غير الهيكلية أدت إلى انطباق أقوى بين الصور المولدة والتوجيهات.

تأثير حماية محاكاة باستخدام ضوضاء غاوسية على مجموعة بيانات Flickr8k.

دعم هذا التفسير الكامن الذي يفيد بأن أي ضوضاء مضافة، بغض النظر عن تصميمها، تُخلق عدم اليقين الأكبر للنموذج أثناء التوليد، مما يسمح لتوجيه النص بالسيطرة على الصورة النهائية.

الاستنتاج

لقد كان مشهد البحث يدفع الاضطراب المعادي في قضية حقوق النشر من نماذج LDM منذ فترة طويلة؛ لكن لم تظهر حلول قوية من العدد الكبير من الأوراق المنشورة حول هذا الموضوع.

إما أن تؤدي الاضطرابات المفروضة إلى خفض جودة الصورة بشكل مفرط، أو تثبت أن الأنماط ليست قادرة على الصمود في وجه التلاعب والعمليات التحويلية.

ومع ذلك، يبدو أن البحث عن حماية حقوق النشر من خلال هذه الوسائل يُعد حلمًا صعب الإنجاز، منذ أن يبدو أن الاضطراب المعادي قد يزيد من سوء المشكلة، كما تشير الورقة الجديدة إلى أن هذا قد يكون صحيحًا في العديد من الحالات.

في أي حال، إذا كانت الاضطرابات المعادية تزيد من سوء المشكلة، كما تشير الورقة الجديدة إلى أنها قد تكون كذلك، فمن المعقول أن نتساءل عما إذا كان البحث عن حماية حقوق النشر من خلال هذه الوسائل يُعد شكلًا من “الخيمياء”.

نُشر لأول مرة يوم الإثنين، 9 يونيو 2025